Portada » Home » Extensión para navegadores roba contenido de correos electrónicos

Extensión para navegadores roba contenido de correos electrónicos

Un grupo de amenazas está distribuyendo activamente extensiones maliciosas para navegadores como Chrome y Edge. El objetivo es robar contenido de correos electrónicos con sesiones abiertas de Gmail y AOL, además reemplazar los archivos de preferencias del navegador.

Los investigadores de Volexity identificaron la extensión maliciosa, llamada SHARPEXT, que Kimsuky (el grupo malicioso, que también es conocido como SharpTongue) ha estado usando durante casi un año.

A diferencia de otras extensiones de navegador maliciosas, SHARPEXT no se creó para robar credenciales, si no para sustraer los datos de bandejas de entrada.

En concreto, los atacantes instalan la extensión manualmente usando un script VBS, esto luego del compromiso inicial del sistema objetivo.

Para instalar SHARPEXT, los atacantes reemplazan los archivos »Preferencias» y »Preferencias seguras»:

  • Para reemplazar el archivo de Preferencias seguras, los atacantes recopilan ciertos detalles del navegador y generan un nuevo archivo que ejecuta el inicio del navegador.

Posteriormente, los atacantes usan un segundo script para ocultar algunas de las acciones de la extensión y cualquier otra ventana que pueda aparecer, y advierten a las víctimas sobre la actividad inusual.

En consecuencia, la extensión ejecuta un par de »oyentes» que buscan ciertos tipos de actividad en las pestañas del navegador. La instalación se personaliza para cada víctima individual.

Las primeras versiones descubiertas de la extensión maliciosa solo admitían cuentas de Gmail, mientras que la última versión es compatible también con AOL.